• Почему не корректно отрабатывает протокол OSPF?

    @Strabbo
    Я понимаю, что при нерабочем канале от 7750 к 7705 Hello пакет приходит, но как 7705 отправляет ответный hello, если он должен инкапсулироваться в ip, а потом в ethernet, но маршрутизатор не знает на какой mac-адрес отправлять ответ?

    Насколько я помню OSPF использует свой протокол, которому не нужен ARP, работает по дефолту он по мультикасту, там не надо знать мак адреса участников, пакет получать все кто будет слушать группу.

    А при типах интерфейса broadcast маршрутизаторы по такой же схеме доходят до Exstart, а вот почему дальше ничего не происходит не понятно.

    Во многих случаях на Exstart зависает, когда MTU на обоих концах разные. Можно попробовать убрать проверку MTU. В остальных случаях надо смотреть дебаг.

    PS. Если платфора позволяет то настройте связку BFD + OSPF, она должна лучше отрабатывать переключение между линками во время проблем на одном из линков.
    Ответ написан
  • Как "мягко" отключить коммутатор в составе vpc кластера?

    @Strabbo
    Зависит от того какие протоколы у вас работают, но в целом рекомендация от вендора есть. Вот документ, который описывает как "мягко" вывести коммутатор из домена и вырубить все протоколы, которые поддерживают GR.
    Ответ написан
    Комментировать
  • Что лучше Mikrotik CCR2116-12G-4S+ или Zywall FLEX 700H?

    @Strabbo
    или я не прав?

    ты прав

    или просто вкорячить ещё 1 Zywall и сидеть пердеть не париться

    много плюсов за этот вариант

    P.S. Можно и без вланов
    Ответ написан
    Комментировать
  • Почему LLDP возвращает несколько хостов?

    @Strabbo
    Почему LLDP возвращает несколько хостов?

    Потому-что коммутаторы передают чужие LLDP пакеты. Обычно умные свичи не передают чужие LLDP пакеты на другие интерфейсы, но ваши свичи почему то это делают.

    P.S. Наблюдал такое поведение у некоторых старых свичей, производителя не помню.
    Ответ написан
    1 комментарий
  • Как устроены VLAN у провайдера и как провайдер защищает свою сеть на уровне абонентов?

    @Strabbo
    Добавлю свои 5 копеек.

    Используются ли провайдерами VLAN 802.1q без использования private vlan? Если да, то как это устроено. Ведь нужно сделать винегрет из вланов в одной подсети, но подсеть же работает только с одним вланом. Как шлюз (под шлюзом назовём L3 коммутатор ядра) будет получать на свой интерфейс столько вланов и потом ещё обратно отправлять пакеты абоненту с нужной меткой VLAN? По идее же, подсеть будет прописана только к одному влану на интерфейсе шлюза.
    В рамках работы 802.1q такое вообще возможно, или я что-то не понимаю?


    Private vlan используют только маленькие провайдеры, большим не выгодно из-за ресурсов которые нужны для этой схемы. Если у вас 10к абонентов, то с private vlan это 20к маков, вместо обычных 10к. TCAM не резиновый.

    Одну подсеть можно прописать на несколько вланов и без private vlan. Тут нам поможет Ip unnumbered + BNG. Можно и без BNG, но с ним круче.

    Второй вопрос. Какими методами провайдеры защищают своё оборудование от вмешательств злоумышленников?
    Например, чтобы к аксессному коммутатору никто не мог подключить свою железку и слушать через span порт трафик (если вообще аксессные коммутаторы так умеют) или осуществить mitm атаку на абонентов, подключенных к этому коммутатору.


    Зависит от атаки, например Если у провайдера есть DHCP snooping + IPSG + DHCP opt 82 (который можно настроить частично на BNG ну и полностью на свичах) то ваш MITM не пройдет. у вас просто не будет доступа к сети. простоу будете снифить и смотреть что там и всё ))

    Если там не Ethernet, а GPON. Тут вообще 95% может и больше (процент взял от балды) ничего вы не заснифите, Сперва надо поймать волну, не каждой железкой можно, а потом уже и расшифровать. GPON использует AES шифрование. Ну и потом GPON downlink это обычный broadcast который зависит от OLT, может заключать в себе дофига абонентов и каждый шифруется по разному ) сперва надо достать ключи конкретного ONU, потом отделить как то его трафик и расшифровать (это в теории).

    P.S. Не все провайдеры используют то, о чем я написал. Но я работал в таком где использовали.
    Ответ написан
    1 комментарий
  • Что лучше, SONiC или Cisco IOS?

    @Strabbo
    Перенес с коментов в ответы.

    думаю sonic позволит использовать маркировку соединений и раскидывание их по разным таблицам маршрутизации, и в целом фильтрацию L4 уровня, то позволит ли такое IOS?


    В NX-OS можно маркировать траффик и раскидывать их в нужные интерфейсы не используя таблицу маршрутизации (PBR), но вот я сомневаюсь, что можно легко раскидвать траффик в разные таблицы маршрутизации без костылей. Вот с костылями это возможно (Например сделать локальный луп на портах и с помощью этих портов соеденять несколько таблиц маршрутизаций, или же программный vrf leak). Фильтрация на L4 работает.

    Возможно ли на ios фильтровать соединения одного L2 домена, при этом на L4 уровне?


    Возможно, есть Vlan access map, который позволяет сделать ACL по мак адрессам или по IP и фильтровать траффик до того как он дойдет до шлюза.

    Умеет ли ios в d/snat?


    По документам умеет, но очень много лимитов. Вообще я бы не делал NAT на свичах, даже если производитель говорит, что всё работает. Ну не научились они его нормально делать, сделали кое как для галочки и всё. Единственный раз был свидетелем dst nat на catalyst 9k свичах, после долгих отговорок клиент всё-таки решил сделать этот нат, было 4 свича по 2 штуки в стеке, на обоих сделали нат и через 2 недели high cpu, packet loss. Пока не выключили нат проблема не ушла
    .
    тут инфа на нексус 5к нат

    Что будет лучше для резюме?


    Ну если это резюме для сетевика, то на одном свиче далеко не уедешь. Я думаю, что для резюме достаточно будет самой технологии, а вот делали вы ее на cisco/sonic/arista/huawei/juniper уже не имеет разницы, потому что работают они все одинаково, переделать конфиг одного вендора на другой со всеми тестами можно за несколько дней, максимум неделя.

    Или существуют коммутаторы лучше предложенных мною, на Б/У рынке в бюджете до 100к? В целом, что будет лучше для домашней лаболатории?


    Думаю что вы потратите больше чем 100к, так как QSFP стоят побольше обычных SFP+, не совсем плохие наверное штука от 4-5к, DAC будет дешевле, а AOC дороже.

    P.S. Я тоже любитель домашних лаб, начинах с покупи железок, тоже брал по 1, но как только начал глубоко изучать технологии, понял что например 1 свича не хватит, в большинстве случаях надо 4 например, а это уже слишком дорого :) после этого вся моя Network Lab переехала в виртуализацию.
    Ответ написан
    Комментировать
  • Как получить полную скорость от cisco 2921?

    @Strabbo
    Как получить полную скорость от cisco 2921?

    С вашим конфигом никак. У вас даже скорость в нормальном режиме работы (IMIX) будет меньше, чем на спидтесте.
    Можно выключить НАТ и тогда скорее всего вы получите 1G.
    Посмотрите этот документ, там есть тесты со скоростью с разными конфигурациями

    ПДФ
    Ответ написан
    5 комментариев
  • Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?

    @Strabbo
    Итог один и тот же, VLAN блокируются с 2 сторон, не выходит сделать полный доступ с 33 к 30 и чтобы небыло у 30 к 33.

    На 3810m никак. Ставьте фаервол, на нём можно сделать то что вам нужно
    Ответ написан
    Комментировать
  • MikroTik, есть ли инструкция по правильной настройке IS-IS?

    @Strabbo
    вот какие порты использует данный протокол, чтоб ему разрешать передачу трафика через firewall

    Он не использует IP протокол, соответственно никаких портов там нету. IS-IS использует протокол CLNS.
    можно ли огранить отправку маршрутов по аналогии с OSPF filter rules или же данный протокол работает совершенно по-другому

    По стандарту фильтрация работает из одной area в другую или же с Level 2 в Level 1 и наоборот. + может какой то вендор добавил свои методы фильтрации.

    P.S. как ISIS работает в микротике понятия не имею :)
    Ответ написан
    1 комментарий
  • Кто и как использует кредиты RIPE Atlas?

    @Strabbo
    вопрос раз: кто и как их использовал и куда их можно применить?

    Проверяли trace с разных стран до нашей сети, чтобы посмотреть с каких стран до нас большой пинг и где находится проблема.
    вопрос второй: кому и как их можно и нужно благотворительно раздать?

    кто использует атлас у них и так очень много кредитов, так что не знаю кому нужны лишние))

    P.S. сколько у вас кредитов?
    Ответ написан
    2 комментария
  • Как изолировать 2 сегмента с помощью VLAN на оборудовании Cisco, чтобы они оба имели выход в третий?

    @Strabbo
    В Cisco это делается легко с помощью Private Vlan
    Ответ написан
    Комментировать
  • Дружат ли Mikrotik и HPE Aruba?

    @Strabbo
    Хочу понять, заработает ли линк если на разных концах будет sfp от разных вендоров, т.е. у HPE свой, а у микротика свой, само собой реверсные типа 1550-1310 и на втором конце 1310-1550.

    Уверен на 100% что заработает. Сами использует разных ведноров на разных концах (Cisco>Huawei)(Cisco>Juniper)(Juniper>Huawei)
    Ответ написан
    Комментировать
  • Нужны ли стекируемые коммутаторы?

    @Strabbo
    В вашем случае всё зависит от системы виртуализации, например ESXI сам всё разнесет по портам так что лупа не будет. Так что вы можете даже подключить ваши свичи друг к другу и петли не будет. Но в таком случае усложниться управление- вместо одного стека будете управлять несколькими свичами по отдельности. При добавлении коммутаторов опять таки без стека надо будет много конфигить. Без стека может усложниться подключение к провайдеру и к остальной сети(если она существует).

    P.S. Best Practice зависит от многого, так что тут не можеть быть конкретного ответа, многое зависит от разных факторов.
    Ответ написан
  • Почему не доходит сигнал ping?

    @Strabbo
    Маска подсети неправильная
    Ответ написан
    Комментировать
  • Не работает плавающий маршрут на Cisco 3560?

    @Strabbo
    Есть предположение, что это из-за vlan, потому что если интерфейс падает, влан всё равно остаётся в состоянии up. Соответственно, коммутатор считает, что интерфейс все еще рабочий и не меняет маршрут в таблице маршрутизации. Если это так, то как тогда это пофиксить?


    Так и есть. В старших железках можно было привязать IP SLA к Track, а его уже к статик роуту. В новых железках добавили BFD к статике. Посмотрите что из этого есть на вашей железке.

    Второе решение это привязать влан только к одному порту, чтобы при падении порта падал и влан.
    Ответ написан
    Комментировать
  • Можно ли TCP ускорить при помощи TCP via UDP tunnel?

    @Strabbo
    У TCP и UDP нету пинга.
    Можно ли TCP ускорить при помощи TCP via UDP tunnel?

    Нельзя
    Ответ написан
    4 комментария
  • Как сделать проброс одной сети Cisco 3560 на другую Cisco 3560?

    @Strabbo
    С 3560 только комутация сработает. Тяните vlan с одного свича на другой
    Ответ написан
    Комментировать
  • Как перенаправить весь трафик с хоста на виртуалку pfsense на хосте, чтобы использовать pfsense как личный шлюз?

    @Strabbo
    Если они в одной сети, то на хосте в качестве шлюза по умолчанию пропишите айпи pfsense-а.
    Ответ написан
    2 комментария
  • Есть ли смысл сдавать CCIE?

    @Strabbo
    Вам нет, но есть люди, которым есть смысл сдавать этот экзамен.
    темы которые там вроде редко используются

    это какие?
    Ответ написан
  • Может кто-то посоветовать книги,курсы на ютуб по пентесту?

    @Strabbo
    Можем, вот
    Ответ написан
    Комментировать